Yearn 疑似遭駭客攻擊，損失恐超千萬美金

Table of Contents

老牌 DeFi 協議疑似遭攻擊

去中心化金融協議 Yearn 的舊合約疑似遭駭客利用且攻擊涉及借貸協議 Aave，安全公司 PeckShield 在推特上發布了可疑交易。發起交易的地址初始資金來自 Tornado.Cash，漏洞利用的可能性大幅提升。目前尚不清楚 Aave 是否有損失資金或者只是單純被用作閃電貸的攻擊資金來源。

Hi @AaveAave @iearnfinance, you may want to take a look: https://t.co/61wSYHqwvs
— PeckShield Inc. (@peckshield) April 13, 2023

損失總計超千萬美元

此外，根據 LendX 創辦人 0x_Imperius 的說法，另一個開頭 0x16Af 的錢包地址已透過漏洞利用獲利超千萬美金，其中包括 USDT、USDC、BUSD 等多種穩定幣。

Wallet 1 has 10m worth of funds from the exploithttps://t.co/i9RgAyLQvP

Wallet 2 this one is still executing TXshttps://t.co/c8pMJSIZXv

Wallets funded through tornado cash, fun fun fun 😐 https://t.co/saISXJDM4E
— Pennski (@0x_Imperius) April 13, 2023

受害資金共分布在三個地址，可透過 Nansen 製作好的地址組合分析查看金流。

Aave 有受影響嗎？

Aave 社區成員 Marc Zeller 在其推文中表示，此次事件僅涉及 Aave V1，V2 跟 V3 都沒有受到影響，且 V1 自 2022 年 12 月以來已被凍結，縱使 Aave V1 的資金在此事件中損失資金，影響也有限，且 Aave 安全模塊中有 3.825 億美元的資產，完全有能力可以償還損失。

Aave V1 has been frozen since Dec 2022, so no user can deposit or increase borrow size making issue unlikely but not impossible.

We're aware of the situation and research is ongoing. More info when we have more clarity.
— Marc “Chainsaw” Zeller 👻 🦇🔊 (@lemiscate) April 13, 2023

更新：在後續的推文中，Marc Zeller 補充表示，經過進一步調查，此次攻擊事件對 Aave V1 的影響為 0，對 V2 跟 V3 的影響也為 0。根據目前已知的資訊來看，此次攻擊事件似乎是 Yearn 前身， iearn 遺留協議中的 yUSDT 遠古漏洞遭利用，Yearn v2 本身並沒有受到此事件的影響。